[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Syn flood, comment s'en débarrasser ?


Le 23 juin 2015 à 06:38, Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> a écrit :


   Bonjour,


Le lundi 22 juin 2015, Philippe Gras a écrit...


# Autoriser mysqld
iptables -t filter -A INPUT -p tcp -s localhost --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -s localhost --dport 3306 -j ACCEPT
echo "MySqld OK »

Si tu as des règles qui autorisent le trafic sur lo (genre iptables -A
INPUT|OUTPUT -i lo -j ACCEPT), alors ces lignes ne servent à rien.

Non, je ne crois pas. Je n’ai d’ailleurs pas bien compris à quoi servait Lo
concrètement. J’ai juste :
=======================================================
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo "Loopback OK"
=======================================================

J’aimerais bien savoir si je peux appliquer le même traitement à Named
ou Memcached, par exemple.

Bien évidemment. Voir à faire écouter les services sur localhost
uniquement, ce qui suffit. Si un service n'écoute pas sur l'ip publique,
alors il n'est pas visible de l'extérieur, et il n'y a pas vraiment de
raison que quiconque tente de s'y connecter. Ce que je dis là est
valable pour mysqld dont nous avons déjà parlé.

Ça veut dire qu’il suffit que je regarde les services qui LISTEN sur 127.0.0.1
et pour ceux-là, je mets un filtre iptables sur localhost comme pour mysqld ?
=============================================================================================
# netstat -antp | grep php-fpm
tcp        0      0 127.0.0.1:45150         127.0.0.1:11211         ESTABLISHED 16607/php-fpm: pool
tcp        0      0 127.0.0.1:45151         127.0.0.1:11211         ESTABLISHED 16608/php-fpm: pool
tcp        0      0 127.0.0.1:45149         127.0.0.1:11211         ESTABLISHED 16606/php-fpm: pool
=============================================================================================
# netstat -antp | grep memcached
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      31573/memcached 
tcp        0      0 127.0.0.1:11211         127.0.0.1:45150         ESTABLISHED 31573/memcached 
tcp        0      0 127.0.0.1:11211         127.0.0.1:45151         ESTABLISHED 31573/memcached 
tcp        0      0 127.0.0.1:11211         127.0.0.1:45149         ESTABLISHED 31573/memcached
=============================================================================================
(Entre parenthèses, pourquoi php-fpm est-il sur le même port que memcached ?)

=============================================================================================
# netstat -antp | grep named
tcp        0      0 x.xxx.xxx.xx:53         0.0.0.0:*               LISTEN      16528/named     
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      16528/named     
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      16528/named     
tcp6       0      0 :::53                   :::*                    LISTEN      16528/named     
tcp6       0      0 ::1:953                 :::*                    LISTEN      16528/named
=============================================================================================
Ça n’a pas l’air d’être OK pour named, en tout cas…

Et quand je regarde SSH, ça ne me semble pas cohérent :
=============================================================================================
# netstat -antp | grep ssh
tcp        0      0 0.0.0.0:XXXXX           0.0.0.0:*               LISTEN      17140/sshd      
tcp6       0      0 :::XXXXX                :::*                    LISTEN      17140/sshd      
# netstat -antp | grep XXXXX
tcp        0      0 0.0.0.0:XXXXX           0.0.0.0:*               LISTEN      17140/sshd      
tcp        0      0 x.xxx.xxx.xx:XXXXX      82.124.235.254:50457    ESTABLISHED 21565/0         
tcp6       0      0 :::XXXXX                :::*                    LISTEN      17140/sshd
=============================================================================================
(J’ai mis des X et des x sur les IP qui n’intéressent pas les crawlers).



--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/[🔎] 20150623043803.GA2950@espinasse


Reply to: